rajbharti-cyber/Incident-Response-Playbooks

# 🚨 事件响应治理剧本 — NIST 800-61 与运营韧性框架 本项目包含一套完整的、符合行业标准的**事件响应 (IR) 剧本**： - **NIST SP 800-61 (计算机安全事件处理指南)** - **SANS 事件响应流程** - **ISO 27035 (事件管理)** - **MITRE ATT&CK 框架** 这些剧本展示了面向治理的事件响应能力，适用于： - 网络风险团队 - 技术风险顾问 - 安全治理项目 - 事件管理团队 - 审计与合规部门 - 企业安全运营 # 📘 1. 项目概述 本项目的目标是构建**可操作的、循序渐进的 IR 剧本**，涵盖现代组织面临的最常见的网络安全事件，包括： - 恶意软件感染 - 勒索软件攻击 - 钓鱼事件 - 未授权访问 - 数据泄露/窃取 - DDoS 攻击 - 内部威胁 每个剧本概述了： - 分流步骤 - 遏制策略 - 取证收集 - 根除 - 恢复 - 沟通计划 - 经验教训 # 🎯 2. 目标 - 创建实用的、SOC 可用的 IR 剧本 - 规范检测、分流和响应操作 - 提升网络韧性 - 减少事件影响和停机时间 - 使响应工作流与 NIST/SANS 保持一致 - 实现高效的升级和沟通 # 🧩 3. NIST 800-61 事件响应生命周期 ``` ┌────────────────────────────┐ │ 1. Preparation │ └─────────┬──────────────────┘ │ ┌─────────▼─────────┐ │ 2. Detection & │ │ Analysis │ └─────────┬─────────┘ │ ┌─────────▼─────────┐ │ 3. Containment, │ │ Eradication & │ │ Recovery │ └─────────┬─────────┘ │ ┌─────────▼─────────┐ │ 4. Lessons Learned │ └────────────────────┘ ``` # 📦 4. 包含的剧本 本项目提供了以下剧本： 1. **恶意软件/病毒感染** 2. **勒索软件攻击** 3. **钓鱼邮件事件** 4. **未授权访问/账户失陷** 5. **Web 应用程序攻击 (SQLi, XSS, LFI)** 6. **数据窃取/数据泄露** 7. **DDoS 攻击** 8. **内部威胁事件** 每个剧本都遵循结构化、可重复的 IR 模式。 # 🔥 5. 剧本 #1 — 恶意软件/病毒感染 ### ✔ 检测 - EDR/SIEM 发出的警报 - 用户报告可疑弹窗 - 异常的出站 C2 连接 ### ✔ 分流 - 识别受影响的机器 - 检查正在运行的进程 - 验证可疑文件 ### ✔ 遏制 - 断开机器与网络的连接 - 封锁恶意域名/IP - 禁用受损的用户账户 ### ✔ 根除 - 通过 EDR 移除恶意软件 - 修补漏洞应用程序 - 重置凭据 ### ✔ 恢复 - 从干净的备份中恢复 - 重新连接设备 - 验证系统完整性 ### ✔ MITRE 映射 - T1059: 命令执行 - T1071: C2 流量 # 🔥 6. 剧本 #2 — 勒索软件攻击 ### ✔ 检测 - 文件突然被加密 - 发现勒索信 - SIEM 发生大规模文件修改警报 ### ✔ 遏制 - 隔离受感染的端点 - 禁用 SMB 文件共享 - 停止受影响的服务 ### ✔ 根除 - 识别勒索软件变体 - 终止恶意进程 - 移除持久化机制 ### ✔ 恢复 - 从已验证的备份中恢复 - 重置管理员凭据 - 强化访问控制 ### ✔ 沟通 - 通知领导层 - 准备法律/合规简报 ### ✔ MITRE 映射 - T1486: 数据加密以造成影响 - T1489: 停止服务 # 📧 7. 剧本 #3 — 钓鱼邮件事件 ### ✔ 检测 - 用户报告可疑电子邮件 - 电子邮件包含恶意附件/链接 ### ✔ 分流 - 识别受影响的用户 - 分析邮件头、发件人域名、URL ### ✔ 遏制 - 封锁恶意发件人 - 从所有收件箱中隔离该邮件 ### ✔ 根除 - 移除恶意痕迹 - 删除可疑规则 (例如，Outlook 规则) ### ✔ 恢复 - 用户密码重置 - 安全意识培训 ### ✔ MITRE 映射 - T1566: 钓鱼 - T1059: 恶意脚本 # 🔐 8. 剧本 #4 — 未授权访问/账户失陷 ### ✔ 检测 - 不可能的异地登录 - 多次失败后的成功登录 - 未知的设备或位置 ### ✔ 分流 - 验证用户活动 - 检查 SIEM 和 IAM 日志 - 识别被访问的资源 ### ✔ 遏制 - 强制重置密码 - 撤销会话 token - 要求重新注册 MFA ### ✔ 根除 - 移除后门身份验证方法 - 禁用恶意的 OAuth token ### ✔ 恢复 - 监控异常访问 - 进行账户审查 ### ✔ MITRE 映射 - T1078: 有效账户 - T1021: 横向移动 # 🌐 9. 剧本 #5 — Web 应用程序攻击 ### 涵盖的威胁 - SQL 注入 - XSS - 路径遍历 - 暴力破解 ### ✔ 检测 - WAF 警报 - Suricata/SIEM 事件 ### ✔ 遏制 - 封锁恶意 IP - 启用 WAF 规则集 - 修补漏洞代码 ### ✔ 恢复 - 重新运行漏洞扫描器 - 部署安全的代码更改 # 📤 10. 剧本 #6 — 数据窃取 ### ✔ 检测 - 异常的出站流量 - 大量数据传输 - DNS 隧道指标 ### ✔ 遏制 - 封锁可疑的出站连接 - 禁用受损账户 ### ✔ 根除 - 移除恶意软件或反向 shell - 修补被利用的漏洞 ### ✔ 恢复 - 验证没有进一步的泄露 - 进行取证数据分析 ### ✔ MITRE 映射 - T1048: 通过替代协议窃取数据 # 🌩️ 11. 剧本 #7 — DDoS 攻击 ### ✔ 检测 - 单个服务的流量激增 - 负载均衡器 CPU 增加 - 防火墙日志显示 SYN 洪水攻击 ### ✔ 遏制 - 启用 DDoS 防护 - 根据需要进行地域封锁 - 速率限制与节流 ### ✔ 根除 - 无 — DDoS 需要缓解而不是移除 ### ✔ 恢复 - 恢复正常访问 - 进行事件后审查 # 🕵️‍♂️ 12. 剧本 #8 — 内部威胁 ### ✔ 检测 - 异常的文件下载 - 未授权的访问尝试 - 向个人电子邮件传输数据 ### ✔ 遏制 - 锁定账户 - 撤销访问 token - 启动调查 ### ✔ 根除 - 移除未经授权的工具 - 禁用外部共享 ### ✔ 恢复 - 审查权限级别 - 实施最小权限原则 # 📊 13. IR 严重程度分类矩阵 | 严重程度 | 影响 | 响应时间 | 示例 | |---------|--------|---------------|---------| | Critical | 组织级风险 | 立即 | 勒索软件 | | High | 系统失陷 | < 1 小时 | 未授权访问 | | Medium | 影响有限 | 当天 | 钓鱼 | | Low | 风险极小 | 24–72小时 | 轻微警报 | # 🧠 14. 角色与职责 (RACI 矩阵) | 角色 | 检测 | 遏制 | 根除 | 批准 | 沟通 | |------|---------|----------|------------|----------|-------------| | SOC 分析师 | R | R | C | - | C | | 事件经理 | C | A | A | A | A | | 取证团队 | C | C | R | - | C | | IT 运维 | - | C | R | - | - | | 领导层 | - | - | - | A | A | (R = Responsible (负责), A = Accountable (担责), C = Consulted (咨询)) # 📦 15. 包含的交付物 - 完整的 8 个 IR 剧本 - 符合 NIST 的 IR 生命周期 - MITRE 映射表 - 分流与遏制步骤 - 沟通工作流 - 严重程度矩阵 - RACI 职责图 - ASCII 事件图表 # 📈 16. 关键成果 - 规范的 SOC 事件工作流 - 更快的分流与遏制 - 减少事件影响 - 增强了 IR 成熟度 - 改善了沟通与升级流程 - 与合规标准保持一致 # 🧾 17. 结论 此事件响应剧本套件展示了在以下方面的专业网络安全能力： - SOC 运营 - 事件检测与遏制 - 取证调查 - 风险降低 - 高管报告 - MITRE TTP 映射 它反映了企业环境中 IR 团队使用的**真实世界咨询交付物**。 # 📬 联系方式 **GitHub:** https://github.com/rajbharti-cyber **LinkedIn:** https://www.linkedin.com/in/rajbharti-cybersecurity/

标签：Cloudflare, DDoS攻击, IR剧本, ISO 27035, MITRE ATT&CK, NIST 800-61, Object Callbacks, SANS应急响应, 内部威胁, 勒索软件响应, 安全合规, 安全咨询, 安全治理, 安全运营, 审计, 应急响应生命周期, 恶意软件响应, 扫描框架, 提示词模板, 数字取证, 未授权访问, 网络代理, 网络钓鱼, 网络风险管理, 自动化脚本, 运营韧性, 防御加固